第 37 卷 第 2 期 计算 机 应 用 研究 IC Vo FR 


录用 定稿 Application Research of Computers Accepted Paper 


基于 MILP 方法 的 LED 密码 安全 性 分 析 
刘波 涛 “*"， 彭 长 根 “*， 吴 害 雪 *…， 丁 红 发 "， 谢 明明 “ 


(贵州 大 学 a. 计算 机 科学 与 技术 学 院 , b. 贵州 省 公共 大 数据 重点 实验 室 ，c. 密码 学 与 数据 安全 研究 所 , d. 数学 与 统 
计 学 院 , 贵阳 550025) 


摘 要 : 基于 自动 化 搜索 算法 求解 差分 特征 与 线性 逼近 ， 成 为 了 分 组 密码 的 差分 与 线性 攻击 研究 热点 ， 提 出 一 种 面 
I 分 特征 与 线性 逼近 方法 ,进行 对 轻 量 级 LED 密码 实现 分 析 ， 以 较 少 


的 变量 与 约束 不 等 式 求 解 活跃 S 金 数 量 , 4 轮 运 算 至 少 有 25 个 活跃 S 金 , 这 个 结果 与 算法 设计 者 给 出 的 活跃 $ 盒 理 
论 值 相 同 ， 验 证 了 该 方法 的 正确 性 。 最 后 ， 计 算 LED 算法 的 最 大 差分 特征 及 线性 逼近 概率 ,证 明 其 能 够 抵抗 差分 与 
线性 攻击 。 
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Based on MILP method for security analysis of LED 
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Abstract: Based on the automatic search algorithm to solve differential characteristic and linear characteristic, it has 
become hot topics in differential attack and linear attack. This paper presented a differential characteristic and linear 
characteristic method based on the half-byte MILP model for automatic search cryptanalysis. This method is used to analyze 
for the LED lightweight block cipher, to solve the number of active S-boxes with fewer variables and constraint inequalities. 
The 4 rounds of LED obtained at least 25 active S-boxes, which is same as theoretical value given by the LED designer, 
verifying the correctness of the half-byte MILP model. Finally, this paper calculated the maximum differential characteristic 
probability and the maximum linear characteristic probability of LED, which proves that it can resist differential attack and 
linear attack. 
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”a 土 户 隐私 nH， 作为 轻 量 级 分 组 密 码 算 法 中 的 佼佼 者 LED 算法 
时 & 有 适应 能 力 强 、 软 硬件 执行 效率 高 等 优点 ， 非 常 适 合 应 用 
近年 来 , 轻 量 级 分 组 密码 作为 物 联网 设备 信息 安全 保障 ， 于 这 些 物 联网 中 智能 微型 设备 。 
其 设计 与 分 析 引 起 了 学 术 与 工业 界 的 高 度 关注 。 目 前 ， 在 国 轻 量 级 分 组 密码 算法 是 硬件 实现 具有 资源 少 、 功 耗 低 等 
内 外 已 提出 了 一 些 轻 量 级 分 组 密码 算法 ， 其 中 知名 的 密码 算 优点， 但 其 安全 性 一 直 是 密码 学 者 关注 的 焦点 。 对 于 分 组 密 
法 有 PRESENTUH 、 LEDDP 、 LBlockGl 、 KLEINI 而 


s 言 ， 差 分 攻击 0 与 线性 攻击 0 是 两 种 强 有 力 的 攻击 方 
RECTANGLEGI、SKINNYIG、SFNUI 等 。 轻 量 级 LED 分 组 密 ”法 ， 从 而 抵抗 差分 与 线性 攻击 是 评估 算法 设计 安全 性 一 个 非 
码 是 由 南洋 理工 大 学 郭 建 等 人 在 2011 年 的 CHES 上 被 提出 ， 常 重 要 的 指标 ， 所 以 在 密码 算法 设计 的 安全 分 析 评 估 中 ， 设 
算法 设计 兼顾 了 软 硬 件 实现 性 能 的 目标 ， 软 件 运 行 效率 快 ， 计 者 首要 评估 差分 攻击 与 线性 攻击 ， 来 验证 密码 算法 的 安全 
在 人 硬件 方面 ， 设 计 了 超 轻 量 级 (甚至 于 无 ) 密 钥 编 排 ， 密 钥 生 。 在 差分 攻击 与 线性 攻击 中 ， 关 键 是 寻找 高 概率 的 差分 特 
直接 通过 单 输 入 触发 器 实现 ， 节 省 大 量 硬件 面积 资源 ， 这 种 性 与 线性 逼近 ; 对 于 最 大 差分 特性 概率 与 最 大 线性 允 近 概率 
超 轻 量 级 密 钥 编排 方式 得 到 了 SKINNY 等 多 个 算法 学 习 及  ” 是 通过 分 析 算 法 存在 最 小 活跃 S 盒 的 数量 来 进行 计算 。 目 前 ， 
采用 ,与 PRESENT、LBlock、KLEIN、RECTANGLE 密码 自动 化 搜索 算法 来 获取 活跃 S 盒 最 小 值 ， 成 为 差分 攻击 与 线 
算法 相 比 ， 其 面积 更 小 。 人 中 性 攻击 的 研究 热点 。2011 年 , Mouha 等 人 03] 将 混合 整数 线性 
无 线 传感器 网 络 (wireless sensor networks, WSN) [8 与 车 载 规划 (mixed integer linear programming , MILP) 问题 应 用 于 
Ad-Hoc 网 络 (vehicular ad-hoc networks, VANET) 中 传输 信 自动 化 求解 最 小 活跃 $ 盒 , 该 方法 以 字 节 作为 差分 变量 单位 ， 
息 的 机 密 性 、 完 整 性 和 认证 性 ， 以 及 保护 移动 智能 设备 中 用 结合 SPN (Substitution-Permutation Network) 结构 与 Feistel 
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结构 算法 的 轮 函数 ， 对 字 节 级 混淆 与 扩散 模块 组 件 进行 约束 
分 析 、 编 程 实现 求解 。2014 年 ，Sun 等 人 04 在 ASIACRYPT 
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1 ”LED 算法 描述 


上 ， 对 MILP 自动 化 求解 方法 进行 了 扩展 ， 


的 差分 特性 与 线性 逼近 。2017 年 ， 
方法 基础 上 , 自动 化 搜索 了 
征 与 线性 逼近 ， 


将 原 有 字 节 级 的 
差分 变量 单位 扩展 到 了 比特 级 的 差分 变量 单位 。2016 年 , Fu 1.1 
等 人 0 在 FSE 上 ， 提 出 了 关于 ARX 结构 分 组 密码 算法 的 
MILP 自动 化 求解 方法 ， 分 析 了 轻 量 级 分 组 SIMON 算法 09 
尹 军 等 人 07481 在 文献 [14] 
轻 量 级 分 组 ESF 算法 09 的 差分 特 
给 出 了 全 轮 ESF 能 够 抵抗 差分 攻击 。 目前， 


常用 的 符号 与 术语 
P :64 位 明文 

C :64 位 密 文 

K :原始 密 钥 

SK :64 位 轮 密 钥 

@ : 异 或 运算 


对 于 LED 密码 算法 的 安全 性 分 析 主 要 基于 传统 理 


有 给 出 具体 的 推断 与 计算 过 程 去 证 明 。 


解 差 分 特征 与 线性 逼近 Po0， 并 且 LED 密码 算法 的 设计 者 没 
在 MILP 


模型 求解 LED 算法 的 差分 特征 与 线性 通 近 方 生 


发 现 有 公开 发 表 的 成 果 。 因 此 ， 对 于 保护 物 联网 


息 的 安全 性 ， 利 


] MILP 模型 自动 化 搜索 来 进行 


节 的 LED 算法 及 其 他 密码 安全 性 分 析 , 是 加 强 自 


设计 与 分 析 提 供 
本 文 提出 一 种 面 


了 非常 重要 的 价值 。 


提升 了 MILP 自动 化 分 析 技 术 的 效率 ， 


向 半 个 字 节 MILP 模型 自动 
算法 的 差分 特征 与 线性 逼近 方法 ， 该 方法 通过 编程 实现 ， 该 
模型 以 较 少 的 变量 与 约束 不 等 式 求 解 算法 的 活跃 
精确 地 验证 了 LED 算 
法 活跃 S 盒 的 数量 以 及 最 大 差分 特征 概率 与 最 大 线性 
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率 ， 证 明了 LED 密码 算法 是 能 够 抵抗 差分 攻击 与 线性 攻击 。 


论 方法 求 上 : 链接 符 
state :中 间 状 态 值 
自动 化 搜索 rc: 轮 常数 值 
国内 外 尚未 1.2 LED 算法 
设备 敏感 信 LED 是 一 种 典型 的 SPN 结构 轻 量 级 分 组 密码 算法 ， 其 
基于 半 个 字 分 组 为 64 比特 ， 密 钥 分 别 为 64 比特 与 128 比特 两 种 ， 对 应 
主 密码 算法 记 为 LED-64 与 LED-128， 和 迭代 轮 数 "分别 为 32 轮 和 48 轮 。 
算法 加 密 过 程 中 ， 轮 函数 包含 5 个 模块 组 件 : 轮 密 钥 加 
化 搜索 密码 变换 (AddRoundkey)、 常 数 加 变换 (AddConstants)、S 盒 蔡 


S 盒 数 量 ， 


Ar 上品 


P(po, PP5)， 密 文 输出 符号 


台 近 概 


LED-64 密 码 32 轮 和 欠 代 


为 C(c:c cas) o 


> C 
县 党 i 
! 轮 了 莹 和 > 这 才 > 
状 | “| 鳃 | | 中 | | 二 | 
P 1 故人 一 和 等 | 一 > 修一 一 一 | > 和 . >c 
~ sk Skz SKi Skz SK Skz 


下 面 对 LED 算法 的 轮 函 数 5 个 模块 组 件 及 轮 密 钥 生成 方 


案 进 行 描述 与 分 析 : 
1) 轮 密 钥 加 变换 (AddRoundkey ) 


LED-128 密 码 48 轮 迭代 


图 1 LED 算法 加 密 流程 


Fig.1 The encryption process of LED 


换 变 换 (SubCells)、 行 移 位 变换 (ShiftRows) 及 列 混合 变换 
(MixColumnsSerial)，LED 算法 加 密 流 程 如 图 1 所 示 。LED 
算法 是 以 半 个 字 节 〈( Z; ) 为 运算 操作 单位 ， 明 文 输入 符号 为 


运算 过 程 如 下 所 示 。 


Statero7 <— stateloa D jl| staterar Ore 


轮 密 钥 加 变换 是 指 中 间 状 态 值 ( ware ) 与 轮 密 钥 ( SK ) 
进行 比特 间 异 或 操作 ,LED 算法 是 每 4 轮 进行 一 次 轮 密 钥 加 。。” 其中: (1=0.44.5,8,9.12.13) 及 (j= 


变换 操作 。LED-64 算法 与 LED-128 算法 轮 函 数 主要 差异 是 


体 如 下 所 示 。 


轮 密 钥 加 变换 操作 不 同 ， 


LED-64 算法 的 轮 密 钥 加 变换 如 下 公式 所 示 : 


Siatelo6l <— Stateioes] © SKioea] 


0,1,2,3) 。 


3) S 盒 蔡 换 变 换 (SubCells) 


S 盒 奉 换 变 换 是 LED 算 光 
法 的 S 盒 采 用 
S 盒 蔡 换 操作 过 程 如 下 所 示 : 


(1) 


LED-128 算法 中 ， 奇 数 次 4 轮 运算 轮 密 钥 加 操作 如 下 所 


Stateioea] < Stateioes [< SKiloe] 


偶数 次 4 轮 运算 轮 密 钥 加 操作 如 下 所 示 : 


Statéioesl <— stateioes © SKyoey 


2) 常数 加 变换 (AddConstants) 
常数 加 变换 是 32 比特 的 中 间 状 态 值 与 固 


的 一 个 非 线 折 


2、3 及 轮 常数 re ) 进行 异 或 运算 ， 该 轮 常数 rc 见 文 献 [2]， 


(4) 


FE 层 变 换 , LED 算 
于 PRESENT 算法 4x4 加 密 S 盒 , S 盒 见 表 1， 


Stateloal 人 S 一 box (statesoa ) (0<i<15) (5) 
表 1 8S 盒 元 素 (16 进 制 ) 
O) Table 1 S-box in hexadecimal form 

Xx 0 1 2 3 4 5 6 7 

S-box(x) C 5 6 B 9 0 A D 

G) Xx 8 9 A B C D E F 

S-box(x) 3 E F 8 4 也 1 2 

4) 行 移 位 变换 (ShiftRows) 

定常 数 0、1、 行 移 位 变换 是 进行 半 字 节 块 的 循环 移 位 操作 ， 在 64 bit 
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构成 的 4x4 半 字 节 方 正中 , 第 1 行 半 字 节 块 不 移动 ， 


第 2 行 


循环 左 移 1 个 半 字 节 块 ， 第 3 行 循环 左 移 2 个 半 字 节 块 ， 第 


4 行 循环 左 移 3 个 半 字 节 块 ， 如 图 2 所 示 。 


大 一 


图 2 行 移 位 变换 
Fig. 2 Operation of shiftrows 
5) 列 混合 变换 (MixColumnsSerial) 


列 混合 变换 是 基于 有 限 域 cF(2) 的 4x4 半 字 节 中 间 状 


态 值 矩阵 与 混合 固定 矩阵 进行 相 乘 运算 , 具体 过 程 如 
4 1-2 2 
8 6 5 6 
siatlos -|p p A oh 
2 2 .FF 8B 


Slateyosa Stateyoa Stateyosa statesoa 
Slateyosa Siatesoa Statesosa Statertoa 
Slatesoa] Stateyoa Stateivosa stateiioa 


Stateyoa]l Siateiaoa]l Stateiyos Stateisoa 


6) 轮 密 钥 生成 方案 


下 所 示 : 


(6) 


LED 算法 的 轮 密 钥 生成 方案 是 一 个 不 需要 进行 扩展 运 
算 的 , 在 LED-64 算法 中 ,是 直接 将 64 位 原始 密 钥 赋值 给 轮 


密 钥 SK, ， 表 示 为 SK, =K; 在 LED-128 算法 中 ， 是 4 


E 将 128 


位 原始 密 钥 均等 分 为 两 个 部 分 ， 在 分 别 赋值 给 轮 密 钥 SK 与 


SK,, SK | SK2 = 天 。 


2 面向 半 个 字 节 的 MILP 模型 


MILP 问题 是 运筹 学 中 的 一 类 优化 问题 ， 目 的 是 在 线性 


约束 条 件 下 求解 目标 函数 的 最 大 值 或 者 最 小 值 。 在 构造 自动 


化 分 析 程序 的 差分 特征 中 , 每 一 个 半 字 节 的 差分 值 分 


与 A#0 两 种 情况 ,利用 变量 0 和 1 进行 描述 7 轮 的 密码 算法 


为 A=0 


差分 特征 ， 并 且 差 分 变量 x 来 描述 轮 的 每 一 个 半 字 节 差 分 


值 状态 。 
定义 1 在 字符 串 中 ，" 个 半 字 节 差 分 表示 为 


A=(AuA…A)， 然后 半 字 节 差 分 变量 z= (xm 和 ,1) ， 当 


则 差分 变量 取 值 = 1， 其 中 (0<i<n-1)。 


分 组 密码 中 ,算法 轮 函 数 是 具有 较 好 的 混淆 与 扩散 效果 ， 
一 般 非 线性 组 件 是 使 算法 达到 混淆 作用 ， 线 性 组 件 是 使 算法 


达到 扩散 效果 。 


半 字 节 差 分 值 A;,=0, 则 差分 变量 取 值 *=0; 当 差 分 值 A; #0， 


a) 非 线性 变换 的 约束 。 非 线性 变换 是 采用 于 S 盒 蔡 换 操 


作 ， 而 在 轻 量 级 分 组 密码 算法 中 ， 为 了 降低 实现 成 本 ， 采 用 


4x4 的 S 盒 ，S 盒 蔡 换 变换 就 是 进行 半 个 字 节 的 操作 。 假 设 
S 盒 的 4 比特 〈 半 个 字 节 ) 输入 差分 表示 为 (Aao,Aa,Aa,Aa,)， 
则 Ss 盒 的 4 比特 ( 半 个 字 节 ) 输 出 差分 表示 为 (Ab,Ab,Ab,,Ab,)， 


用 4 表示 这 个 4x4 的 S 盒 的 活跃 状态 。 


在 非 线性 变换 的 约束 中 ，" 轮 差 分 特征 中 至 少 有 


个 “S 


盒 是 活跃 S 盒 ， 保证 Aao 》 Aa, Aa, > Aa; 有 任意 一 个 状态 为 


1， 则 4=1， 用 不 等 式 约束 为 
Au -4<0 
Aa -4<0 
Am -4<0 
Aa; -4<0 


(7) 


反之 ， 当 4=1 时 ， 则 Au ， Aa, Aa ， Aa 必定 存在 一 
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个 非 零 ， 用 不 等 式 约束 为 
Aayt+AaitAa,+Aas —A >0 (8) 
分 析 中 ,对 于 一 个 双 射 4x4 的 S 盒 , 当 输 入 半 字 节 差 分 
是 非 零 的 ， 输 出 半 字 节 差 分 必然 也 是 非 零 的 ， 输 入 半 字 节 差 
分 是 零 ， 输 出 半 字 节 差 分 必然 也 是 零 ， 用 不 等 式 约束 为 


4 Ap SA >0 
j=0 j=0 

4y Aa， -Ap >0 
j=0 j=0 


根据 算法 运算 分 组 单位 与 结构 不 同 ， 这 些 变量 的 约束 也 
是 不 相同 的 。 

b) 线性 变换 的 约束 : 线性 变换 LK ， 在 线性 变换 工 当中， 
给 定 差分 分 支 数 为 8 。 假 设 线性 变换 输入 半 字 节 差 分 变量 


示 为 ( 蕊 ; 忒 …; 芍 ,) ， 则 输出 半 字 节 差 分 变量 表示 为 


(9) 


(aoaar…oowa) ， 假 设 一 个 4* 是 0 与 1 的 变量 ， 当 线性 变换 


中 ， 区 aa 都 为 0 时 ， 则 a! 取 值 为 0， 
否则 ，a* 取 值 为 1。 线性 变换 用 不 等 式 约束 表示 为 


i 


dS (10) 


3 ”建立 LED 算法 的 自动 化 MILP 模型 


在 LED 密码 中 , 轮 函 数 包括 这 5 个 模块 的 变换 : 轮 密 钥 
加 、 常 数 加 、S 盒 替 换 、 行 移 位 及 列 混合 ， 这 些 模块 的 运算 
是 基于 半 个 字 节 分 组 变换 运算 。 这 5 个 模块 中 ， 上 有 具 有 混淆 作 
用 的 模块 是 S 盒 蔡 换 变换 ， 具 有 线性 扩散 作用 的 模块 是 行 移 
立 变 换 与 列 混合 变换 ,针对 LED 算法 是 基于 半 个 字 节 分 组 变 
换 运算 ， 建 立 面 向 半 个 字 节 的 自动 化 MILP 模型 。 在 LED 算 
法 中 ， 根 据 算法 结构 特点 ， 建 立 自动 化 MILP 模型 ， 重 点 考 
虑 是 如 下 几 个 操作 : 

a) S 盒 奉 换 变换 :， 了 瑟 一 到 。 

b) 行 移 位 变换 与 列 混淆 变换 下 一 王 ' 。 

S 盒 蔡 换 变换 的 MILP 模型 约束 ， 由 于 LED 算法 的 密码 
生成 方案 不 进行 运算 操作 ， 从 而 主要 是 分 析 算 法 加 密 过 程 使 
用 的 S 盒 蔡 换 ， 结 合 第 2 节 中 的 描述 ,一 个 双 射 的 4x4S 盒 
差分 分 析 中 ， 半 字 节 的 输入 差分 是 非 零 ， 则 半 字 节 的 输出 差 
分 也 是 非 零 ， 此 时 差分 活跃 S 盒 表 示 为 1， 反 之 亦 然 ， 用 不 
等 式 约束 为 


1 Axz0 
| _ (11) 


于 行 移 位 变换 与 列 混合 变换 线性 扩散 层 的 MILP 模型 
约束 ， 在 列 混合 变换 中 , 一 个 4 阶 的 MDS 型 矩阵 ， 这 个 阶 
MDS 型 矩阵 的 最 大 分 支 数 是 za+1 (分 支 数 从 理论 上 可 以 给 出 
差分 攻击 与 线性 攻击 的 抵抗 界限 ， 扩 散 层 分 支 数 越 大 ， 扩 散 
效果 越 好 ), LED 算法 的 固定 混合 矩阵 是 一 个 4 阶 MDS 型 的 
和 矩阵， 线性 扩散 层 达 到 最 佳 ,从 而 LED 算法 差分 与 线性 的 分 
支 数 B=5， 设 4 为 一 个 0 与 1 的 变量 。 
行 移 位 变换 的 MILP 模型 约束 ， 在 行 移 位 变换 当中 ， 只 
是 进行 半 个 字 节 的 循环 移 位 操作 ， 没 有 改变 差分 变量 值 ， 不 


> 
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加 Nh hh hy 0 Nh 区 hy 
A hh SR Xs XN 妈 
Xo Xe XAo Ma| Xo XM XK Xe 
加 hh XA hs Ns %h hl 
/二 a 中 ;五 二 心 
行 移 位 变换 的 MILP 模型 约束 C 语言 实 


下 : 


int state[4]; 
ford = 1;j < 4; i++) 
{ 
for(G = 0; 1 <4; i++) 
state[i] = alj][(Gi +]j) % 4]; 
for(i = 0; i <4; i++) 


a[j][i] = statefi]; 


} 


列 混合 变换 的 MILP 模型 约束 ， 在 列 混合 变换 是 有 限 域 


GF(2) 上 的 矩阵 相 乘 操作 ， 和 矩阵 单元 中 每 一 列 的 每 个 元 素 值 


、 、 < 、 
二 介 恋 是 得 刁 甘 介 恋 出 
发 生 了 变化 , 差分 变量 值 也 得 到 了 改变 , 产生 新 的 差分 变量 ， 
ZE 性 >》 = 
改变 情况 如 下 所 示 : 
0 hh XM hy Me Xo Xa Nos 
Xx x x x Xx Xx x 
9 13 1 17 21 25 29 
MC (13) 
Mo0 XA4 加 Nh Xs Xa Xe Xso 
Ns h hl Mg Xs Ny Nal 
hi Nh hh 加 Nh h hh 加 人 加 
x x x 六 六 x: x x Xx: X x 
1 5 9 13 1 5 9 13 5 9 13 
SC SR 
% Xe Xo Aha hh Xe No Xa Xo Xa 加 
LN Nh Nl Xs ha HH XN Ns Xs 为 为 
Ne Xo Xa Ns Ne Vo Ta Xs Me Xo 
MT MI Vs Ny SC MT MI Vs Ny SR XW Ns 
Xs VY Ve Xa0 Ns Vy Ve Nao Xe Xo 
Lo Xs hy hi Ny Xs XW Xl [Xs Xl 
XH Ve Xo Xa Hy Xe Xo Xa Ta2 he 
XY3 Xr Xa Xas SC Ma Hr Xa Nas SR XY Xa 
Xa4 Xs Xa Xa Ka Xss Xa Xa6 Xa Xa6 
La5 Xo Xs Xa [Xs Xp Xs Xa [Xa Xs 
Xs Xs Xse Xoo Xs Xs Xss Xoo Xs Xsy 
X X x x X, x x x Xx x 
gy a yy 61 sy yy 
SC SR 
Xo Xs4 Xsse Xe X50 Xs4 Xss Xe Xss Xe 
[Xs Xss No Xes [Xs Xss Xs Xes [Xe Xl 
法 运 出 五 诗人 守 丢 
LED 算法 4 轮 运算 的 MILP 模型 主 模块 C 语 言 实现 代码 


描述 如 下 : 
int main() 
{ 
int a[4][4]; 
for G = 0;j < 4;j++) 
for (i= 0;i< 4;i+t+) 
a[j 
printf("Minimize\n"); 
A/* 输 出 目标 函数 六 
for JG =0;j < ROUNDS*16-1; j++) 
printf("x9%j + ",j);/*ROUNDS 是 轮 数 */ 
printf("x%j\n\n",ROUNDS*16-1); 
printf("Subject To\n"); 
拖轮 函数 约束 */ 
for (r = 0; T<ROUNDS; r++) 


D] = next++; 


a 


算 上 
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列 混合 变换 的 MILP 模型 约束 C 语言 实现 代码 描述 如 


void MixColumnsSerial (int a[4][4]) 


} 


个 4 轮 运算 进行 具体 


for(i=0; i <4 ; i++) 
{ 
forQ = 0;j < 4; j++) 
printf("x%j +", afj][i]); 
ford = 0;j < 3; j++) 
printf("x%]j +", next + j); 
printf("x%]j - 5 d%j >= 0\n", next+3,dummy); 
forQ = 0;j < 4; j++) 
printf("d%]j - x%j >= 0\n", 
dummy, aDjl[i]); 
ford = 0;j < 4; j++) 
printf("d%]j - x%j >= 0\n", 
dummy, alj][i] = next++); 


dummy++; 


LED 算法 是 每 4 轮作 为 一 个 大 的 运算 步 又, 在 这 4 轮 运 
FP, 充分 使 得 算法 得 到 混淆 与 扩散 ,本 文 以 LED 算法 的 一 


变换 的 混淆 与 扩散 情况 ， 如 式 〈14) 所 示 。 


Xly Xe Xo Xa Xs 
x > 
1 MC 17 21 5 29 next round 
Xe Xlg Xo B27 Xo 
A 人 i A bi Xo3 V7 3 1 
Xa Xs 32 V6 Xo Xa 
729 X17 MC X33 Xa7 Xal Xas next round 
Xs Xo) Xm Xs Xa Nel 
Xo Xo7 | X35 X39 Xas Xa 
Xa Xa4 Xs Ns Xse Xeo 
Xas X33 MC Xa Xs3 Xs Xel Ek Fania 
XT Hs | Xso Xsa Xss Xe 
en) Xa J [Xl Xss Xso Xe zl] 
Xse Xoo Xe Xeg X72 Xe 
Xel Nag MC Xes Xe XT Xn 
Xso Xsa i AX66 Xo Xa X78 
Xss Xsg | Xer Bg 1 Xs X79 
{ ShiftRows(a); 
MixColumnsSerial(a); } 
必 至 少 有 一 个 $ 盒 是 活跃 的 */ 
for G = 0;j < ROUNDS*16-1; j++) printf("x%j + ",j); 
printf("x%j >= 1\n\n", 
ROUNDS*16-1); 
printf("Binary\n"); /* 变量 约束 */ 
for G = 0;j < 16; j++) printf("x%j\n",j); 
for G = 0;j < dummy; j++) printf("d%j\n",j); 
printf ("End\n"); 
return 0; 
} 


4 


型 进行 C 语言 编程 实现 ,对 算法 的 4 轮 运算 进行 每 一 轮 自 


MILP 模型 求解 LED 算法 活跃 S 盒 
通过 建立 LED 算法 半 字 节 的 自动 化 MILP 模型 ， 


自动 化 MILP 模型 约束 分 析 ， 算 法 4 轮 


(14) 


将 模 
动 
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录用 定稿 


化 约束 ， 


4 轮 
LED 算法 的 第 1 轮 运 


刘波 涛 ， 


约束 不 等 式 如 下 : 
云 算 约束 不 等 式 : 


Mo+Xs + Xiot Xs t+ Xe t+ Xt Xs tt Xo 


-5d,>0 


: 基于 MILP 方法 的 LED 密码 安全 性 分 


与 列 混合 变换 ， 
X32, X33, Nae X47 » 根据 约束 不 等 
量 Xe» X17, Xs» M9 都 不 为 0， 则 变量 


外 网 


分 析 


ChinaXiv 合 作 期 刊 


半 字 节 的 凑 


分 变量 


第 37 卷 第 2 期 


式 (19) ~ (22)，4 个 差分 变 
450,d, 都 不 为 0， 为 了 满 


约束 不 等 式 〈19) ~ 〈22) 成 立 ， 则 
X20 [Xez0 (xo #0 (xyz#0 
X30 |xrz0 Ixz0 Ixst0 
Vas0" [xe #0° [Ws#¥0 LX 0 G32 
Xs 0 [xo 0 [xsz0 [x zt0 
在 第 3 轮 约束 不 等 式 中 ,由 于 第 2 轮 运算 中 16 个 差分 变 
量 zy za X46s X47 都 不 为 0， 经 过 算法 的 S 盒 蔡 换 变换 ， 则 LED 


算法 第 3 轮 运算 和 得 到 16 个 差分 活 和 
换 与 列 混合 变换 ， 半 字 节 
xxo sx ， 根 据 约束 不 等 
,xesx 都 不 为 0， 则 变量 
足 不 等 式 (23) ~ (26) 成 立 ， 则 选择 


里 292，793，， 


跃 S 盒 ， 再 经 过 行 移 位 变 
半 字 节 的 差分 变量 732 33， Na» Xa 变 为 


式 (23) ~ (26)，16 个 差分 变 
到 ds, dy, dio, 都 不 为 0; 为 了 


Xs 0 

xXxa0 
x #0 83) 

0 
在 第 4 轮 约束 不 等 式 中 , 由 于 第 3 轮 运算 中 4 个 差分 变 
量 ,总 ,8X6 都 不 为 0， 经 过 算法 S 盒 蔡 换 变 换 ， 则 LED 算 
法 第 4 轮 运算 得 到 4 个 差分 活跃 S 盒 ， 再 经 过 行 移 位 变换 与 
列 混合 变换 ， 半 字 节 的 差分 变量 由 xs,xw,…,xw,x6 变 为 
64，X65， xssxn ， 根 据 约束 不 等 式 (23) ~ (26)，4 个 差分 变 


Nag» Xs3s Xsg» Xes 都 不 为 0， 则 变量 
等 式 〈27) 成 立 ， 则 可 


上 4 /本 


时 ,其 他 
成 立 。 


经 过 第 4 轮 约束 不 等 式 的 分 析 之 后 ， 则 在 第 4 轮 中 又 恢 


子 帮 过 分 


量 为 零 


可 以 选择 半 


复 到 只 有 


个 半 字 节 差 分 变 


为 0; 从 
相同 ， 从 而 


找 周 


而 算法 第 5 轮 的 变量 
j LED 算法 后 续 运 


量 不 为 


， 使 得 约束 


0， 


1+4+16+4=25 个 。 


过 过 程 中 ， 


建立 LED 算法 的 


也 推算 4H 


自动 化 MILP 模型 进行 差 
半 字 节 差 分 变量 个 数 、 约 束 不 等 式 数量 及 活跃 S 盒 


全 轮 LED 


其 他 半 字 
与 约束 不 等 式 与 第 1 轮 的 情况 
云 算 变 换 出 现 了 像 前 
期 性 变化 ， 所 以 ， 本 文 只 需 通过 计算 前 4 轮 的 活跃 $ 盒 ， 寻 
期 变化 规律 ,可 以 精确 
盒 数 量 。LED 算法 前 4 轮 计 算得 到 这 


4 不 为 0; We 
a (28) ~ (30) 


同 


4 轮 一 样 的 周 


算法 的 活跃 S 


差分 活跃 S 盒 至 少 为 


分 分 析 , 分 析 


数量 随 着 算法 加 密 轮 数 递增 的 变化 情况 如 表 2 所 示 ， 列 举 了 


算法 14 轮 加 密 


o 


do—xX>0 (i=0,5,10,15,16,17,18,19) (15) 
XA+X tht+tA 十 X0 十 2 十 Jo 十 2 一 5d 过 0 16 
di—-x2>0 (1=16,1112,20,2122,23) 410) 
0 17 
d,—xX>0 (i=2,7,8,13,24,25,26,27) (17) 
t= 0 18 
d;—x>0 (i=3,4,9,14,28,29,30,31) (18) 
LED 算法 的 第 2 轮 算法 约束 不 等 式 : 
XetXtXetX1t+X2y t+ Xa3t Xt Xs —Sd >0 19 
di—x,>0 (i=16,21,26,31,32,33,34,35) (19) 
ds 20 
d;—x>0 (i=20,25,30,19,36,37,38,39) (20) 
Vi on tt td 全力 21 
ds—X>0 (i=24,29,18,23,40,41,42,43) 21) 
bh se Eh oe ee Sh eh Sols Ra 22 
d;—x>0 (i=28,17,22,27,44,45,46,47) (22) 
LED 算法 的 第 3 轮 运算 约束 不 等 式 : 
Ja 十 2 + Xa 十 鸡 7 + m+ Xo tAXo +Xi=Ids >0 23 
ds —x>0 (i=32,37,42,47,48,49,50,51) (23) 
KetXit+Xe tks tho th Xa tis =Id 0 54 
d,—x>0 (i=36,41,46,35,52,53,54,55) C4) 
yd 75 
dio—X>0 (i=40,45,34,39,56,57,58,59) (25) 
Xa +Xat+Xag 十 3 十 X6o 十 X6l 十 Xi +Xes—Sdn>0 26 
dii—x>0 (i=44,33,38,43,60,61,62,63) (26) 
LED 算法 的 第 4 轮 运算 约束 不 等 式 : 
四 27 
di,—X>0 (i=48,53,58,63,64,65,66,67) (27) 
ds 0 28 
dis—X>0 (i=52,57,62,51,68,69,70,71) (28) 
dy 29 
dys—X>0 (i=56,61,50,55,72,73,74,75) (29) 
X6o 十 Xe + Xsa + Xso + Xi t+ NX tNXs + Xo —Sdis>0 30 
dis—X,>0 (i=60,49,54,59,76,77,78,79) G30) 
根据 LED 算法 的 4 轮 运算 约束 不 等 式 , 进行 求解 算法 前 
4 轮 差分 活跃 S 盒 , 在 MILP 自动 化 分 析 模 型 中 ，" 轮 差 分 特 
征 至 少 包含 一 个 S 盒 是 活跃 S 盒 ， 根 据 算法 的 第 1 轮 约束 不 
等 式 , 设 一 个 半 ee 量 交 =0， 经 过 算法 的 S 盒 蔡 换 


变换 ， 由 于 LED 算法 的 $S 盒 


分 是 非 零 的 ， 贝 


变换 ， 半 字 节 的 差分 变量 
根据 约束 不 等 式 (1$)， 当 


是 一 个 双 射 的 $ 盒 ， 当 输入 差 


1 输 IE is 伪 ， 


算得 到 1 个 差分 活跃 4x4S 盒 , 再 


从 而 LED 算法 第 1 轮 运 
经 过 行 移 位 变换 与 列 混合 


a 
Xo, A 下 和 和 MI4 Xs 变 为 Xe A7 下 X30 Bl Ea 


# 字 节 的 差分 变量 


0， 则 变量 


dz*0; 为 了 满足 约束 不 等 式 〈15) 成 立 ， 则 
Xe 0 
X70 
Xis #0 GD 
Xo 0 
同时 ,其 他 半 字 节 差 分 变量 为 零 , 使 得 约束 不 等 式 (16) 
~ (18) 成 立 。 
在 第 2 轮 约束 不 等 式 中 ， 由 于 第 1 轮 运算 中 4 个 差分 变 


算法 第 2 轮 运算 得 到 4 个 差分 活跃 S 盒 


里 Xe, X17, Nig, Alo 都 不 为 0， 经 过 算法 的 9 盒 蔡 换 变 换 ， 则 LED 


， 再 经 过 行 移 位 变换 


表 2 MILP 模型 的 LED 算法 差分 分 析 
Table 2 MILP module for differential cryptanalysis of LED 


轮 数 变量 数 不 等 式 数 活跃 S 盒 数 
1 32 36 1 
2 48 72 5 
3 56 108 21 
4 64 144 25 
5 80 180 26 
6 96 216 30 
7 112 252 46 
8 128 288 50 
9 140 324 51 
10 156 360 55 
11 172 396 71 
12 188 432 75 
13 204 468 76 
14 220 504 80 


刘波 涛 ， 


从 表 2 可 以 看 出 ，" 轮 LED 算法 的 MILP 模型 差分 分 析 
规模 为 11+16xr 个 半 字 节 差 分 变量 和 32xr 个 约束 不 等 式 ， 从 
而 LED-64 算法 活跃 $ 盒 数 量变 化 情况 为 表 3 所 示 ,LED-128 
算法 活跃 S 盒 数 量变 化 情况 为 表 4 所 示 。 

表 3 LED-64 算法 活跃 S 盒 数量 
Table 3 The number of active S-boxes in LED-64 
轮 数 1 2 3 4 5 6 7 8 9 1011 12 13 14 15 16 
数量 1 5 21 25 26 30 46 50 51 55 71 75 76 80 96 100 
轮 数 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 
数量 101 105 121 125 126 130 146 150 151 155 171 175 176 180 196 200 
表 4 LED-128 算法 活跃 $ 盒 
Table 4 The number of active S-boxes in LED-128 
轮 数 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 
数量 1 5 21 25 26 30 46 50 51 55 71 75 76 80 96 100 
轮 数 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 
数量 101 105 121 125 126 130 146 150 151 155 171 175 176 180 196 200 


轮 数 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 
数量 201 205 221 225 226 230 246 250 251 255 271 275 276 280 296 300 
过 分 析 表 3 和 4 的 结果 ， 算 法 4 轮 加 密 运 算是 包含 至 
少 25 个 活跃 S 盒 ，LED-64 算法 全 轮 是 至 少 有 200 个 活跃 S 
盒 ， LED-128 算法 全 轮 是 至 少 有 300 个 活跃 S 盒 。 这 个 结果 
与 LED 算法 设计 者 给 出 的 活跃 S 盒 理 论 值 是 相同 , 从 而 验证 
了 本 文 提出 的 基于 半 字 节 MILP 自动 化 搜索 模型 是 正确 的 。 

LED 算法 的 S 盒 的 差分 概率 是 22, 线性 概率 也 是 2?， 从而， 
计算 LED 算法 的 差分 特征 与 线性 逼近 ，LED-64 算法 的 最 大 
差分 特征 概率 计算 为 2>% =24 ， 根 据 堆积 定理 09 最 大 线性 
逼近 概率 计算 为 2 x222m0 =224 ，LED-128 算法 的 最 大 差分 
特征 概率 计算 为 22s% =2% ， 最 大 线性 通 近 概率 计算 为 
2 x22s0 =230 。 通 过 计算 与 分 析 , 证 明了 LED 算法 是 很 好 


人 


抵抗 差分 与 线性 攻击 。 
5 ”结束 语 
本 文 提出 一 种 面向 半 个 字 节 MILP 模型 自动 化 搜索 密码 


算法 的 差分 特征 与 线性 逼近 , 将 该 方法 结合 LED 算法 的 算法 
结构 ， 进 行 C 语言 编程 实现 。 在 该 模型 中 ， 以 较 少 的 变量 与 
约束 不 等 式 求 解 算法 的 活跃 $ 盒 数 量 , 精确 地 求解 LED 算法 
4 轮 运算 至 少 包含 25 个 活跃 $ 盒 ，LED-64 算法 全 轮 是 至 少 
有 200 个 活跃 S 盒 ，LED-128 算法 全 轮 是 至 少 有 300 个 活跃 
S 盒 。 这 个 结果 与 LED 算法 设计 者 给 出 的 活跃 $ 盒 理 论 值 是 
相同 ， 从 而 验证 了 本 文 提 出 的 面向 半 字 节 MILP 自动 化 搜索 
模型 是 正确 的 。LED-64 算法 的 最 大 差分 特征 概率 为 2 ， 最 
大 线性 逼近 概率 为 224 ，LED-128 算法 的 最 大 差分 特征 概率 
为 2% ， 最 大 线性 通 近 概率 为 23 。 通 过 计算 与 分 析 ， 证 明 
了 LED 算法 是 可 以 抵抗 差分 与 线性 攻击 。 
在 下 一 步 工作 中 ， 将 提出 的 一 种 面向 半 个 字 节 MILP 模 
型 自动 化 搜索 密码 算法 的 差分 特征 与 线性 逼近 方法 ， 应 用 到 
更 多 分 组 密码 算法 中 , 总 结 出 通用 高 效 的 自动 化 MILP 模型 。 
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